|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Anton Yuzhaninov 2:5020/400 07 Apr 2006 14:42:05
To : Dmitrij Lystsov
Subject : Re: postfix: check_client_access - hash OR mysql? разница? ошибки?
--------------------------------------------------------------------------------
Hello, Dmitrij!
You wrote to Anton Yuzhaninov on Fri, 7 Apr 2006 10:01:45 +0000 (UTC):
DL>>> Потому что наблюдаю прохождение писем от адресов (e-mail,ip,domain,
DL>>> etc.) для которых установлен REJECT в таблице access.
??>>
??>> Возможно для этих писем в одной сесси указывается несколько RCPT TO: в
??>> рамках одной сессии.
DL> Ух ты...
DL> Это че получается:
DL> Есть коннект с адресом IP, есть два адресата (например).
DL> В smtpd_client_restrictions проверяются все условия для первого, а для
DL> всех остальных, в данном случае второго адресата, условия не
DL> проверяются. И так как стоит последним permit, то все остальные - добро
DL> пожаловать. Или я ошибаюсь?
Проще это проверить. Ту ситуацию, которую наблюдал я пожалуй уже не вспомню.
DL> Hе хотелось бы менять параметр smtpd_delay_reject на <no>, ибо в доке
DL> сказано:
DL> ---
DL> The default setting has one major benefit: it allows Postfix to log
DL> recipient address information when rejecting a client name/address or
DL> sender address, so that it is possible to find out whose mail is being
DL> rejected.
DL> ---
DL> В случае если параметр <yes>, то мона хоть отследить для какого
DL> адресата была отвергнута почта.
DL> Да и со совместимостью клиентов могут быть проблемы.
У меня все проверку которые могу выдать reject перенесны в
smtpd_recipient_restrictions
поэтому в логе есть и sender и recipient
И клиенту выдается 4хх/5xx только в ответ на rcpt to:
??>> В smtpd_client_restrictions остался только sleep и обвязка вокруг
??>> него.
DL> Как в доке?
DL> ---
DL> /etc/postfix/main.cf:
DL> smtpd_client_restrictions =
DL> sleep 1, reject_unauth_pipelining
DL> smtpd_delay_reject = no
DL> ---
smtpd_client_restrictions =
permit_mynetworks,
# почту с серверов из whitelist принимаем без задержки
check_client_access hash:/usr/local/etc/postfix/whitelist,
# адреса с которых пропускаем почту без greeting delay
check_client_access
hash:/usr/local/etc/postfix/no_greeting_delay
sleep 7,
reject_unauth_pipelining,
В map'е no_greeting_delay прописаны адреса, про которые известно, что там
стоит почтовый сервер. Как и greylisting задержка перед выдаечей банера
помогает бороться только со спам-ботами, но никак не помагает если спам идет
через почтовый сервер, где есть mta.
В этот список внесены сети наиболее крупных бесплатных почтовых систем
(блоками по /24) и сервера с которых я получаю много почты.
??>> Все что было в smtpd_helo_restrictions тоже перенес в
??>> smtpd_recipient_restrictions
DL> И smtpd_helo_restrictions и smtpd_sender_restrictions - пустые что ли?
Да, пусто.
DL> Если не сложно, можешь выслать кусок лога с параметрами для:
DL> smtpd_client_restrictions
DL> smtpd_helo_restrictions
DL> smtpd_sender_restrictions
DL> smtpd_recipient_restrictions
Для старой конфигурации, когда я наблюдал интересные эффекты с несколькими
rcpt to: все это не сохранилось.
DL> И еще, напоследок, давно у тебя работает этот сервак с такими
DL> параметрами? Проблем с клиентами не было?
Работает пол-года, хотя трафика на этом сервере очень мало. Около 30
почтовых ящиков, один из которых мой личный и с доставкой почты на него
проблем не наблюдается.
--
Anton Yuzhaninov, OSPF-RIPE, mail: citrin (at) citrin.ru
--- ifmail v.2.15dev5.3
* Origin: Rambler (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
